IP安全策略(1)使用Internet协议安全(IPSec)为网络通信提供数据保密性、完整性、真实性和反重播保护:使用IPSec传输模式提供客户机到服务器、服务器到服务器和客户机到客户机之间的端对端安全。使用受IPSec保护的第二层隧道协议(L2TP)保护从客户机到网关在Internet上的远程访问的安全。IP安全策略(2)由多条IPSec规则组成,每条规则包括:筛选器列表筛选器列表包含一个或多个预定义数据包筛选器,这些筛选器描述为该规则而配置的筛选器操作适用的通信类型。筛选器操作筛选器操作包含与筛选器列表匹配的数据包所需的操作类型(允许、阻止或协商安全)。验证方法KerberosV5协议、证书或预先共享密钥隧道终结点指定是否以隧道方式进行通信,如果是,则指定隧道终结点的IP地址。连接类型IP安全策略(3)默认IP安全策略服务器(请求安全)Server(RequestSecurity)客户端(仅响应)Client(RespondOnly)安全服务器(要求安全)SecureServer(RequireSecurity)IP安全策略(4)IP安全策略的应用仅适用于Win2000以上系统ActiveDirectory的IP安全策略本地计算机的IP安全策略只能指派一条IP安全策略IP安全策略操作演示禁用ICMP协议关闭139/445端口加密数据禁用139/445端口(1)SMB(ServerMessageBlock)用于文件和打印共享服务。Windows2000以上操作系统中,SMB除了基于NBT的实现,还通过445端口实现。当client(Win2000/XP/2003,允许NBT)连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,以445端口通讯。当445端口无响应时,才使用139端口。当Client(Win2000/XP/2003,禁止NBT)连接SMB服务器时,那么它只会尝试连接445端口,如果无响应,那么连接失败。如果win2000服务器允许NBT,那么UDP端口137、138,TCP端口139、445将开放。如果NBT被禁止,那么只有445端口开放。禁用139/445端口(2)禁用139/445端口(3)禁用139/445端口(4)禁用139/445端口(5)禁用139/445端口(6)禁用139/445端口(7)禁用139/445端口(8)禁用139/445端口(9)禁用139/445端口(10)禁用139/445端口(11)禁用139/445端口(12)禁用139/445端口(13)禁用139/445端口(14)禁用139/445端口(15)禁用139/445端口(16)禁用139/445端口(17)禁用139/445端口(18)禁用139/445端口(19)同样创建禁用445端口的“筛选器列表”和“筛选器操作”禁用139/445端口(20)禁用139/445端口(21)禁用139/445端口(22)禁用139/445端口(23)禁用139/445端口(24)在非域成员的计算机上,会出现图示警告,选[是]禁用139/445端口(25)禁用139/445端口(26)为IP安全策略创建安全规则禁用139/445端口(27)禁用139/445端口(28)禁用139/445端口(29)禁用139/445端口(30)禁用139/445端口(31)禁用139/445端口(32)如果选择[编辑属性],点[完成]会出现下图。禁用139/445端口(33)上图选择[编辑属性]才出现。禁用139/445端口(33)禁用139/445端口(34)同样创建禁用445端口的IP安全规则。禁用139/445端口(35)指派IP安全策略,即时生效禁用139/445端口(38)未禁用时,用WhoisAdmin.exe扫描的结果。禁用139/445端口(39)禁用以后的扫描结果。